CRITICAL🇬🇧 English

CVE-2024-36408

SQL Injection w kontrolerze Alerts aplikacji SuiteCRM

CVSS 9.6v3.1pub. 2024-06-10upd. 2024-11-21

SuiteCRM w wersjach przed 7.14.4 i 8.6.1 zawiera podatność SQL Injection w kontrolerze `Alerts`, wynikającą z niedostatecznej walidacji danych wejściowych. Podatność posiada krytyczny poziom CVSS 9.6 i umożliwia zdalnym atakującym manipulację bazą danych oraz potencjalne zakłócenie działania systemu.

Pokaż oryginał (EN)

SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in the `Alerts` controller. Versions 7.14.4 and 8.6.1 contain a fix for this issue.

🤖 Analiza AI
Jak działa

Nieprawidłowa walidacja danych wejściowych w kontrolerze `Alerts` pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwych zapytań SQL. Poprzez odpowiednio spreparowane żądanie sieciowe możliwe jest przekazanie niezaufanych danych bezpośrednio do warstwy bazy danych bez ich właściwego oczyszczenia lub parametryzacji. Podatność jest exploitowalna zdalnie, bez konieczności interakcji ze strony użytkownika, co znacząco obniża próg jej wykorzystania.

Skutki

Atakujący może manipulować danymi w bazie danych (wysoka integralność) oraz powodować zakłócenia w dostępności systemu CRM (wysoka dostępność). Ze względu na zmieniony zakres (S:C), skutki mogą wykraczać poza bezpośrednio podatną aplikację.

Mitygacja

Należy zaktualizować SuiteCRM do wersji 7.14.4 lub 8.6.1, które zawierają poprawkę eliminującą tę podatność. Szczegóły dostępne w oficjalnym security advisory producenta.

Kogo dotyczy

SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
  • Salesagility Suitecrm

    APP
    Salesagility
    < 7.14.48.0.0 – 8.6.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-50589CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)

CVE-2024-36409CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — punkt wejścia danych drzewa

CVE-2024-36411CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView

CVE-2024-36410CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count

CVE-2024-36412CRITICAL10.0PL ✓ten sam produkt

SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia